熊辉　夏晓荣

摘要：从技术和管理两个层面提出了企业防违规外联的一些措施和方法。

关键词：信息安全；防违规外联；桌面终端；定制

随着信息技术的高速发展，企业信息安全也越来越受到企业管理者的重视。一方面要建设一流的现代化企业，必然要求企业和外界保持紧密的联系，两者间存在大量的信息交换处理；另一方面企业自身的商业机密包括研发信息、客户信息等又要确保信息安全，避免企业内部重要信息的外泄。因此，如何在满足自身信息化需求的情况下保证企业的内部信息安全是企业信息化工作面临的一个重要课题。

一、技术层面

（一）部署信息网络准入系统及桌面终端标准化管理系统

针对企业内网部署实施信息网络准入系统。系统服务端对企业内网终端建立基本信息库，并绑定IP和MAC地址。终端上网时，终端上安装的客户端先取得一个临时IP，并访问服务器，取得授权后获取真正的IP地址，从而得以访问内网。同时，在交换机上启动相关协议，确保所有终端必须访问准入系统，取得授权才能访问内网。

（二）利用windows操作系统自身的安全机制

通过Windows操作系统自带的安全机制，定制IPSec安全策略，仅允许信息内网桌面终端访问企业内网網段，同时禁止访问外网。策略定制完成后，可通过监测注册表前后变化，提取变化信息生成注册表导入文件，利用桌面终端管理系统下发策略到各终端电脑并自动运行，使用人员无需进行任何操作。主要过程如下：

1、在“控制面板”—“管理工具”下选择“本地安全设置”，选中“IP安全策略 在本地计算机”，右键新建1个违规外联安全策略。

2、新建2个筛选器，分别实现对内网允许访问和外网禁止访问进行控制。

3、配置内网访问策略，目标地址设为内网网段如：10.0.0.0，筛选器操作设置为允许，仅允许访问10.0.0.0网段地址的IP请求。

4、配置外网访问策略，目标地址设为0.0.0.0，筛选器操作设置为拒绝，阻断所有的IP访问请求。

5、指派违规外联安全策略，立即生效。

6、从系统注册表中提取相关内容，并做成注册表导入文件，利用桌面终端管理系统下发该条策略。

（三）设置开机安全提示画面

定制防违规外联启动画面，替换原windows操作系统启动画面，用户一旦启动计算机终端，该提醒画面将按照启动顺序出现在终端用户面前。统一定制的信息内、外网桌面终端开机画面以企业统一形象标识为背景，并对违规外联、弱口令、防病毒等信息安全要求进行了提示。

可以手工设置替换开机启动画面，也可以开发小程序，通过桌面终端管理系统下发执行自动更换。对于终端用户较多的企业，建议采用开发程序自动执行的方式。主要步骤如下（省略了具体编程过程）：

1、判断操作系统版本，判断是否32位或64位操作系统。

2、目前企业用户大部分使用的是32位winxp系统。对于32位winxp系统更换启动画面较简单，只需要修改c：＼boot.ini文件内容，将“operating systems”下的类似multi（0）disk（0）rdisk（0）partition（1）＼WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect”语句后加上“ /bootlogo/noguiboot”即可，同时，将定制的启动画面更名为boot.bmp，将其存放在multi（0）disk（0）rdisk（0）partition（1）＼WINDOWS下，通常是c：＼windows下。

3、对于32位win7系统，需要先修改注册表中”＼Software＼Microsoft＼windows＼currentversion＼authentication＼LogonUI＼background＼”下的“oembackground”键值为1，如果该键值不存在，则创建该键值。同时将定制的启动画面文件名改为backgroundDefault.jpg，并存放在 c：＼windows＼system32＼oobe＼info＼backgrounds下。

4、如果操作系统是64位的，则32位应用程序在64位操作系统下运行时，需要考虑64位操作系统的重定向问题，在修改注册表和拷贝文件时，先要禁止重定向，修改或拷贝工作完成后再恢复重定向功能。

（四）设置信息安全提示屏保

在用户使用终端的过程中，为了更好地提醒用户的使用习惯，避免违规外联，可以定制企业自己的信息安全提示屏幕保护程序。屏保通过不断滚动的信息安全提示画面向终端用户展示包括禁止连接手机、禁止外来人员使用、禁止送外维修、禁止使用弱口令及禁止使用非注册信息桌面终端等信息安全要求。屏保程序通过桌面终端管理系统向桌面终端注册用户统一下发并自动执行生效。

关于屏保的制作方法，网上有很多，这里不在一一赘述。

（五）定制标准化操作系统

以正版操作系统为基础进行定制，将以上的安全措施和技术手段包含在内，形成一套包含防病毒软件、IPSec安全策略等信息安全防护措施以及办公相关基础软件等在内的标准化操作系统。

信息运维人员在日常工作中，需要重装系统时，可直接安装该套定制系统，安装完成后再进行适当微调。定制系统的推行一方面确保所有技术手段和措施在新终端上都得以安装，没有遗漏；另一方面，也节省了人力物力和时间，确保了操作系统环境的标准化，在系统出现问题时，便于问题的分析和查找，极大的提升了工作效率，降低了企业信息内网安全隐患。

二、管理层面

（一）严格执行终端设备入网退网审批制度

在终端设备信息安全管理工作中，企业应建立和完善信息终端设备的入网和退网审批制度，防止未经授权和检查的终端随意接入企业信息内网，未经检查和处理的终端设备随意退网或转接外网。

对于退役终端，先履行纪委监督、物资部门核实并批准、财务部门资产处理的程序，再填报《信息终端报废表》，由信息部门核实信息设备的最终使用状态，在桌面终端管理系统、准入系统等相关信息系统内变更设备状态，同时配合原使用者对终端存储介质进行资料的转移、销毁及防泄密处理。

（二）加强标识标签管理

对所有终端的网线、公室墙壁上的网口、信息机房的网络设备接口等均应标注内外网标识，确保不发生误插、错插事件。同时在终端主机、显示屏醒目位置针对内外网分别粘贴“内网设备禁止连接外网”或“外网设备禁止连接内网”等醒目标识，随时提醒终端使用者规范自己的使用行为。

（三）严格考核，签订信息安全工作责任书

加强考核，每年年初时在企业内部分级签订《信息安全工作责任书》，责任书对企业信息安全和终端管理提出明确要求，并规定了奖惩和考核办法。同时，所有新入职人员也必须签订《信息安全工作责任书》，在企业内部营造出信息安全人人有责的氛围。

通过采用以上技术措施和管理手段，能有效地控制企业终端使用者的行为，避免违规外联，大大加强了企业的信息安全。

参考文献：

[1] 王开圣，马俊明.电力信息网终端违规外联的管理研究.中国信息化学术版.2013.07

[2] 陈晓杰，洪志华，孙夷泽，王勇.电力内网违规外联安全监控研究.浙江电力.2013.10

[3] 薛铁军.关于涉密计算机及其移动存储介质违规外联监控系统的几点思考.保密科学技术.2011.03